1

我正在尝试使用 ElastAlert 规则匹配日志消息有效负载中的子字符串notify=warningOR notify="warning",但到目前为止,使用我在下面包含的规则过滤器,结果并不理想:

filter: - query: query_string: query: "message:\"notify=warning\" OR message:\"notify=\"warning\"\""

我正在搜索的子字符串位于该message字段的中间,但我的过滤器的结果与引用的“警告”不匹配,它还会拾取其中只有“警告”之类的词的消息。任何帮助修复我的比赛将不胜感激。

4

1 回答 1

0

您可以尝试使用“.keyword”进行精确匹配。

例如

query: "message.keyword:\"notify=warning\" OR message:\"notify=\"warning\"\""

于 2018-02-28T16:29:37.960 回答